icon

Was ist CCPA und wie wird man konform?

Was ist der California Consumer Privacy Act (CCPA)?

 

Der California Consumer Privacy Act, auch bekannt als CCPA, tritt am 1. Januar 2020 in Kraft. Aufgrund dieser bevorstehenden Gesetzgebung wurde das Internet mit Nachrichten zum California Consumer Privacy Act überflutet, von denen die meisten nur teilweise die Anwendbarkeit, Regeln und möglichen Strafen des California Consumer Privacy Act abgedeckt haben. Dies hat uns veranlasst, einen detaillierten Leitfaden zu diesem Gesetz zu erstellen und Ihnen alle Informationen bereitzustellen, die Sie wissen sollten, bevor es in Kraft tritt.

Was wird der CCPA bewirken?

Der Zweck des California Consumer Privacy Act ist ziemlich einfach. Sein Hauptziel ist es, persönliche Informationen von Einzelpersonen zu sichern, indem Unternehmen verpflichtet werden, deren Zustimmung einzuholen, bevor sie sensible oder persönliche Daten sammeln oder verarbeiten. Laut breitem Konsens wird der California Consumer Privacy Act die Art und Weise, wie Unternehmen über Benutzerdaten denken, verändern. Diese Regelung wird das erste Verbraucherrecht auf Privatsphäre sein, das Kalifornien verabschiedet hat, und kann ein großer Schritt nach vorne sein, um den Datenschutz insgesamt zu gewährleisten, da zahlreiche andere Staaten ebenfalls an ihren Datenregelungen arbeiten.

Ist der CCPA die kalifornische Version der DSGVO?

Wenn wir einen direkten Vergleich zwischen dem California Consumer Privacy Act und der DSGVO anstellen würden, gäbe es einige grundlegende Ähnlichkeiten zwischen den beiden. Beide Gesetze konzentrieren sich darauf, wie persönliche Informationen verarbeitet werden. Sowohl der California Consumer Privacy Act als auch die DSGVO wurden zum Schutz von Einzelpersonen erstellt, und diese Gesetze gelten für jeden, der innerhalb des Geltungsbereichs der jeweiligen Gesetze Geschäfte macht.

Obwohl es einige grundlegende Ähnlichkeiten zwischen den beiden gibt, dienen sie in einigen Fällen dazu, die Unterschiede hervorzuheben. Als das breitere der beiden Gesetze umfasst die DSGVO auch rechtliche Grundlagen und Prinzipien der Verarbeitung personenbezogener Daten, spezifische Datensicherheitsmaßnahmen und Verhaltenskodizes. Auf der anderen Seite verlangt der Consumer Privacy Act im Gegensatz zur DSGVO von Unternehmen, regelmäßig aktuelle Informationen über ihre Praktiken beim Handel mit persönlichen Informationen zu veröffentlichen und Einzelpersonen ausdrücklich zu erlauben, dem Verkauf persönlicher Daten zu widersprechen.

Unter Berücksichtigung all dessen ist der Consumer Privacy Act in vielerlei Hinsicht Kaliforniens Version der DSGVO. Er ähnelt offen dem europäischen Gesetz in einigen wichtigen Segmenten, unterscheidet sich letztendlich jedoch in einigen Anforderungen an persönliche Informationen.

Was sollte eine CCPA-konforme Datenschutzerklärung enthalten?

Dieser Teil des California Consumer Protection Act wird wahrscheinlich der schwierigste für Unternehmen sein, da er viele verschiedene Bedingungen umfasst, die sie erfüllen müssen, um den CCPA zu erfüllen. Damit das gesagt ist, enthält der Text des California Consumer Privacy Act alle Informationen, die Sie benötigen, um die Einhaltung sicherzustellen. Hier ist eine kurze Übersicht über den California Consumer Privacy Act:

  • CCPA-Verbraucherrechte – Der Consumer Privacy Act nennt klar alle Verbraucherrechte auf Privatsphäre. Wichtiger ist, dass die Definition der Verbraucherprivatsphäre spezifiziert, dass Verbraucher das Recht haben, auf persönliche Informationen zuzugreifen. Dies können sie kostenlos zweimal im Jahr tun.
  • Anfordern von Zugang und Löschung – Diese Anforderung des CCPA baut auf der ersten Bestimmung auf, indem sie den Benutzern einen zuverlässigen Kanal bietet, über den sie Zugang zu ihren persönlichen Daten erhalten und deren Löschung verlangen können. Dazu gehören eine Webseite und eine gebührenfreie Nummer.
  • „Meine Informationen nicht verkaufen“-Seite – Unternehmen, die mit den persönlichen Informationen ihrer Nutzer handeln, müssen eine Webseite bereitstellen, über die Nutzer den Verkauf ihrer persönlichen Daten ablehnen können.
  • Kategorien der gesammelten persönlichen Informationen – Jedes Unternehmen muss eine detaillierte Liste der Kategorien persönlicher Informationen bereitstellen, die sie in den letzten zwölf Monaten gesammelt haben. Dazu gehören persönliche Datenkennungen, Beschäftigungs- und Bildungsinformationen, geschützte rechtliche Merkmale und andere Kategorien persönlicher Informationen, die im California Consumer Protection Act aufgeführt sind.
  • Quellen persönlicher Informationen – Zusätzlich zur Information ihrer Kunden, welche Art von persönlichen Daten sie sammeln, verlangt der California Consumer Privacy Act auch, dass Unternehmen ihre Quellen persönlicher Informationen offenlegen. Um genauer zu sein, verlangt der Consumer Privacy Act, dass Unternehmen nur die Kategorien der Quellen auflisten, nicht die Quelle direkt benennen.
  • Grund für die Sammlung persönlicher Informationen – Verbraucherschutzgesetze diktieren auch, dass Unternehmen den Verbrauchern den Zweck der Sammlung ihrer persönlichen Daten mitteilen sollten. Diese Bestimmung des California Consumer Privacy Act ist eine ziemlich standardmäßige Klausel, die bereits in vielen Datenschutzrichtlinien festgelegt ist.
  • Persönliche Daten, die Sie verkauft haben – Wenn ein Unternehmen mit dem Verkauf persönlicher Informationen handelt, muss es alle Kategorien persönlicher Informationen auflisten, die es im vergangenen Jahr verkauft hat.
  • Persönliche Daten, die Sie aus geschäftlichen Gründen offengelegt haben – Schließlich verlangt der CCPA Consumer Credit Protection Act von jedem Unternehmen, jede Kategorie persönlicher Daten aufzulisten, die es aus geschäftlichen Gründen offengelegt hat. Der Consumer Privacy Act nennt sieben spezifische Kategorien von Aktivitäten, die von Sicherheit und Dienstleistungserbringung bis hin zu Prüfung und Testen reichen.

Was sind die Strafen bei Nichteinhaltung?

Der CCPA gilt für jedes gewinnorientierte Unternehmen, das Daten von Einwohnern Kaliforniens sammelt. Dementsprechend kann jedes Unternehmen, das die Vorschriften des California Consumer Privacy Act nicht einhält, mit vorgegebenen Strafen belegt werden. Die Höhe der Geldstrafe hängt davon ab, ob die Nichteinhaltung vorsätzlich oder unbeabsichtigt war. Wenn letzteres der Fall ist, beträgt die vom CCPA festgelegte Höchststrafe 2.500 $. Andererseits, wenn der Verstoß vorsätzlich ist, sieht der Consumer Privacy Act eine maximale zivilrechtliche Strafe von 7.500 $ vor. Unter Berücksichtigung beider Aspekte bleibt unklar, was genau als Verstoß angesehen wird und wann der California Consumer Privacy Act ihn als vorsätzlich betrachtet.

Wie mache ich eine Website CCPA-konform?

Mit all dem gesagt, lassen Sie uns auf wahrscheinlich das wichtigste Thema dieses Artikels eingehen, nämlich wie man den California Consumer Privacy Act einhält. Zweifellos werden Sie einige Arbeit leisten müssen, um dies zu erreichen, aber der Aufwand wird davon abhängen, ob Sie bereits Änderungen gemäß der DSGVO umgesetzt haben. Hier ist eine detaillierte Übersicht darüber, was Sie tun können, um Ihre Website konform mit dem California Consumer Privacy Act zu machen.

Sie haben keine DSGVO-Konformität

Wenn Sie bei null anfangen, sind die erforderlichen Schritte etwas komplizierter und erfordern erheblich mehr Aufwand. Sie müssen alle DSGVO- und CCPA-Anforderungen in einem Rutsch erfüllen. Das bedeutet, dass Sie, wenn Sie ein Unternehmen, ein Dienstleister oder eine „dritte Partei“ im Sinne des CCPA sind, alle einzigartigen Anforderungen dieses kalifornischen Datenschutzgesetzes sowie alle anderen überlappenden Anforderungen der DSGVO erfüllen müssen. Der Abschnitt unten enthält einige der wichtigsten Verbraucherrechte auf Privatsphäre, die die DSGVO berührt.

Sie haben bereits DSGVO-Konformität

Wenn Ihre Website bereits DSGVO-konform ist, müssen Sie keine großen Änderungen vornehmen, um die CCPA-Konformitätsvorschriften zu erfüllen. Da die DSGVO breiter ist, da sie für alle Organisationen gilt, deckt sie die meisten der Dinge ab, über die Sie sich im Hinblick auf den California Information Privacy Act Gedanken machen müssen. Um DSGVO-konform zu sein, sollte Ihre Website unter anderem:

  • Eine genau formulierte Datenschutzerklärung haben
  • Zustimmung zur Verwendung von Cookies einholen
  • Benutzern das Recht auf Zugang und Löschung ihrer persönlichen Informationen gewähren
  • Angemessene Sicherheitssysteme haben

Unabhängig davon, in welcher Situation Sie sich befinden, ist der Hauptfokus des Consumer Privacy Act und der DSGVO, dass Website-Betreiber Systeme für ihre Plattformen entwickeln müssen, die Benutzer benachrichtigen und schützen können. Sie sollten auch persönliche Benutzerinformationen im Falle von Datenpannen, Lecks oder jeglichen Bedrohungen in Bezug auf persönliche Daten im Allgemeinen schützen. Es bleibt noch genügend Zeit, um Ihre Website konform mit den Anforderungen des California Consumer Privacy Act zu machen. Stellen Sie also sicher, dass Sie gründlich sind und alle Kästchen abhaken, da es Ihnen in Zukunft viel Ärger und Kopfschmerzen ersparen kann.

Erfahren Sie mehr darüber, wie die Hideez Enterprise Solution Ihre CCPA-Konformität mit geeigneten Authentifizierungssystemen stärken kann – vereinbaren Sie eine Demo: